本文详细介绍了基于角色的访问控制(RBAC)的基本原理,包括管理员、角色和权限之间的多对多关系,以及如何通过操作表和权限表实现个人操作信息的查看。进一步探讨了如何针对不同级别的管理员实现权限的细化管理,通过引入地区表和增加管理员所属地区字段,实现了省级管理员查看市级和县级管理员操作的功能。最后提出了一种优化方案,即管理员表增加所属地区和所有子级地区字段,以简化地区层级管理,提高权限判断效率。
较为常见的RBAC
管理员表和角色表有着多对多的关系,
角色表和权限表有着多对多的关系。
操作表中附上管理员的id,就可以只查看自己的操作信息。
权限表中对应每个权限管理模块再添加一个可管理全部信息的权限,例如:商品表有个Admin/Goods/ManagerAll的权限,虽然不对应Url,但是可以用来判定是否显示所有的商品。
进阶版的RBAC
昨天有人问我如果是要省级管理员能看到市级管理员和县级管理员两个团队的操作。
增加一张无限级分类的地区表。管理员表多加一个字段,表示自己所属的地区。
由商品的信息可以知道管理员的信息,由管理员的信息可以知道管理员的所属地区,两张表关联就可以知道商品的所属地区,这样可以判断如果该商品是由当前管理员所属地区的子级地区人员添加的,就可以查看到。
这个时候就要注意,上面提到有一个管理全部商品的权限,那么这个权限里面的判断还要增加上地区的判断,只能管理自己所属地区和子地区的全部商品。
优化一下:
管理员表再多加一个字段,保存自己的所属地区和所有子级地区,格式为:1,3,5。。。
这样的话可以直接就知道要管理的商品是哪些地区的。减少地区无限级分类时查找子级地区进行的多次递归。
扫一扫
1616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
